Más de 20.000 usuarios de Instagram podrían haberse visto afectados por una campaña de apropiación de cuentas que permitió a los atacantes confiscar perfiles, bloquear a propietarios legítimos y obtener el control de nombres de usuario valiosos.
Los incidentes salieron a la luz después de que los usuarios informaran de haber perdido el acceso a sus cuentas sin previo aviso. Las víctimas dijeron que los atacantes cambiaron rápidamente la información de recuperación de la cuenta, impidiéndoles recuperar el control una vez completada la adquisición.
La campaña supuestamente se dirigió a una amplia variedad de cuentas, incluyendo empresas, figuras públicas, organizaciones y propietarios de nombres de usuario raros o muy codiciados. Algunas cuentas comprometidas se anunciaron posteriormente para la venta a través de canales de Telegram, mientras que otras fueron despojadas de nombres de usuario valiosos que podían transferirse o revenderse.
Se informó que varias cuentas destacadas se vieron afectadas. Reuters identificó cuentas asociadas a Sephora, la cuenta de Instagram de la Casa Blanca de Obama y el sargento mayor jefe de la Fuerza Espacial de EE. UU., John Bentivegna, entre las personas atacadas.
Las víctimas describieron un proceso rápido en el que se modificaron las configuraciones de la cuenta antes de que tuvieran oportunidad de responder. Algunos usuarios informaron de haber perdido el acceso a pesar de tener medidas de seguridad adicionales activadas en sus cuentas.
Los investigadores señalaron que los atacantes aprovecharon una debilidad en el proceso de recuperación de cuentas de Meta, permitiéndoles cambiar la información de recuperación vinculada a cuentas objetivo. Una vez alterados esos datos, los atacantes podían restablecer contraseñas y asumir el control de los perfiles.
La campaña de adquisición parece haberse centrado principalmente en cuentas con nombres de usuario deseables, que pueden tener un valor significativo en mercados clandestinos. Los investigadores afirmaron que las cuentas y nombres de usuario comprometidos se intercambiaban a través de comunidades en línea dedicadas a la compra y venta de activos en redes sociales.
La magnitud de la campaña generó preocupación porque supuestamente afectó a miles de usuarios antes de que se abordara el problema subyacente. Los informes indican que los atacantes pudieron usar repetidamente el mismo método contra múltiples objetivos durante un periodo relativamente corto.
Meta reconoció el problema y dijo que ha solucionado la vulnerabilidad que permitía las adquisiciones de cuentas. La compañía también dijo que está trabajando con los usuarios afectados para restaurar el acceso a cuentas comprometidas.
La empresa no ha hecho pública el número total de usuarios afectados. Sin embargo, los investigadores que siguen la campaña estiman que más de 20.000 cuentas de Instagram podrían haberse visto afectadas antes de que se corrigiera el fallo.